Synology warnt vor Sicherheitslücke im DSM-Betriebssystem
Synology gibt eine Warnung vor einer Sicherheitslücke im DSM-Betriebssystem für NAS-Systeme heraus. Updates stehen länger bereit.
(Bild: asharkyu/Shutterstock.com)
Synology warnt aktuell vor einer Sicherheitslücke im Synology DiskStation Manager (DSM)-Betriebssystem. Die hochriskante Schwachstelle erlaubt Angreifern Schadcodeschmuggel.
In einer Sicherheitsmitteilung vom Dienstag dieser Woche erläutert Synology, dass "lokale Nutzer beliebigen Code durch anfällige Versionen des Synology DiskStation Manager (DSM)" ausführen können. Weitere Details liefert Synology jedoch nicht. Der Schweregrad wird als "wichtig" eingestuft. Das CERT-Bund gelangt aufgrund der Angaben zu der Einschätzung, dass die Lücke einen CVSS-Wert von 7.8 erreicht und somit die Risikoeinstufung "hoch" erhält.
Aktualisierte Versionen lange verfügbar
Den hochriskanten, sicherheitsrelevanten Fehler korrigiert demnach die DSM-Version 7.2-64561 sowie neuere Fassungen des NAS-Betriebssystems. Das ist jedoch bereits seit Mai 2023 erhältlich. Interessant ist, dass Synology für die ebenfalls verwundbaren Versionen DSM 6.2 und DSM 7.1 nur das Upgrade auf diese 7.2er-Builds von DSM vorsieht.
Bei manchen Synology-Modellen scheint die fehlerbereinigte Version aus dem 7.2er-Baum nicht automatisch installiert zu werden; schlimmer noch: Die fehlerhafte DSM-Version 7.1.1-42962 wird in der Web-GUI gemäß mehrerer Berichte aus dem heise-Forum als "aktuell" angezeigt. In diesen Fällen müssen Administratoren manuell auf die korrekte Version aus der 7.2er-Serie aktualisieren.
Für DSMUC steht die Fassung 3.1.2-23068 und neuere bereit, die den Fehler ausbessern. Die sind sogar schon seit März 2023 verfügbar. Warum der Hersteller erst jetzt vor dieser Schwachstelle warnt und dabei noch jedwede Details zurückhält, erläutert die Sicherheitsmeldung nicht.
Wer NAS-Systeme von Synology einsetzt und noch eine verwundbare Version des DSM-Betriebssystems nutzt, sollte zügig auf die aktualisierten Fassungen umsteigen. Eine Anleitung von Synology beschreibt, wie gegebenenfalls Updates manuell vorzunehmen sind.
Lesen Sie auch
Backup: Synology-NAS-Daten inklusive VMs sichern
Die im Mai 2023 bereitgestellten Updates von Synology für DSM 6.2 hatten etwa Sicherheitslücken gestopft, die auf der Pwn2own-Sicherheitskonferenz des Vorjahres vorgeführt wurden. Andere DSM- und SRM-Versionen hatten die Fehlerkorrekturen teils deutlich früher erhalten.
Der Synology-Kundesupport hat gegenüber Anfragenden geäußert, dass die Entwickler auch an einer aktualisierten DSM-Fassung des 7.1er-Zweiges des NAS-Betriebssystems arbeiten. Wann ein solches Update verfügbar ist, konnte der Support jedoch nicht nennen.
Nach mehreren Lesermeldungen haben wir eine Warnung vor nicht korrekt funktionierenden automatischen Updates ergänzt.
(dmk)